Condividi tramite

Aggiungere informazioni sull'host per un'attestazione con attendibilità TPM

Per la modalità TPM, l'amministratore dell'infrastruttura acquisisce tre tipi di informazioni sull'host, ognuna delle quali deve essere aggiunta alla configurazione HGS:

  • Identificatore TPM (EKpub) per ogni host Hyper-V
  • Criteri di integrità del codice, un elenco di file binari consentiti per gli host Hyper-V
  • Baseline TPM (misurazioni di avvio) che rappresenta un set di host Hyper-V eseguiti nella stessa classe di hardware

Dopo che l'amministratore dell'infrastruttura acquisisce le informazioni, aggiungerle alla configurazione HGS come descritto nella procedura seguente.

  1. Ottenere i file XML che contengono le informazioni EKpub e copiarli in un server HGS. Sarà presente un file XML per host. Quindi, in una console di Windows PowerShell con privilegi elevati in un server HGS, eseguire il comando seguente. Ripetere il comando per ognuno dei file XML.

    Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>

    Nota

    Se si verifica un errore durante l'aggiunta di un identificatore TPM relativo a un certificato a chiave di verifica dell'autenticità (EKCert) non attendibile, assicurarsi che i certificati radice TPM attendibili siano stati aggiunti al nodo HGS. Inoltre, alcuni fornitori di TPM non usano EKCerts. È possibile verificare se un EKCert è mancante aprendo il file XML in un editor, ad esempio Blocco note e verificando la presenza di un messaggio di errore che indica che non è stato trovato alcun EKCert. Se questo è il caso e si ritiene che il TPM nel computer sia autentico, è possibile usare il parametro -Force per eseguire l'override di questo controllo di sicurezza e aggiungere l'identificatore host a HGS.

  2. Ottenere i criteri di integrità del codice creati dall'amministratore dell'infrastruttura per gli host, in formato binario (*.p7b). Copiarlo in un server HGS. Quindi eseguire il comando seguente.

    Per <PolicyName>, specificare un nome per i criteri di integrazione continua che descrive il tipo di host a cui si applica. Una procedura consigliata consiste nel denominarlo come il marchio/modello del computer e qualsiasi configurazione software speciale in esecuzione su di esso.
    Per <Path>, specificare il percorso e il nome file dei criteri di integrità del codice.

    Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'

    Nota

    Se si usa un criterio di integrità del codice firmato, registrare una copia non firmata dello stesso criterio con HGS. La firma sui criteri di integrità del codice viene usata per controllare gli aggiornamenti dei criteri, ma non viene misurata nel TPM dell'host e pertanto non può essere attestata da HGS.

  3. Ottenere il file di log TCG acquisito dall'amministratore dell'infrastruttura da un host di riferimento. Copiare il file in un server HGS. Quindi eseguire il comando seguente. In genere, i criteri verranno denominati come la classe dell'hardware che rappresentano (ad esempio, "Revisione modello produttore").

    Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'

In questo modo viene completato il processo di configurazione di un cluster HGS per la modalità TPM. L'amministratore dell'infrastruttura potrebbe dover fornire due URL da HGS prima di poter completare la configurazione per gli host. Per ottenere questi URL, in un server HGS eseguire Get-HgsServer.

Passaggio successivo

Confermare l'attestazione